技術領域

本發明涉及網絡通信技術領域，特別涉及一種防止惡意ESP報文攻擊的方法。

背景技術

IPSEC隧道對數據報文進行加密處理后的報文分兩種，一種是AH報文，一種是ESP報文，對于AH報文來說，只對報文做完整新認證，可以防止報文被篡改，并且AH認證報文是將整個報文體包括新的IP頭和AH頭一起進行認證處理，此時就防止報文被篡改和重防攻擊，但ESP報文只對報文加密部分做認證和加密，所以如果有黑客復制報文的加密部分，ESP頭部的sn號修改不斷加1的方式來復制整個報文時，IPSEC隧道就會將此報文作為一個正常的ESP報文進行處理，由于ESP報文解密會耗費很高的CPU資源，就會形成損耗CPU攻擊。

發明內容

(一)要解決的技術問題

本發明要解決的是解決網絡中常見的惡意ESP報文攻擊，造成對用戶CPU損耗的問題。

(二)技術方案

為解決上述技術問題，本發明提供了一種防止惡意ESP報文攻擊的方法，其特征在于，

包括以下步驟：

S1：第一防火墻設備接收第二防火墻設備發送的報文，若第一防火墻設備接收報文與發送報文的流量差達到預先設定的閾值，則所述第一防火墻設備對接收到的ESP報文進行解密，再將解密報文進行復制并將復制的報文留存在報文池中；

S2：所述第一防火墻設備將接收到的ESP報文進行解密后與所述報文池中的所有報文進行比對，若所述報文池中存在與所述接收到的報文相同的報文，則所述第一防火墻設備切斷與所述第二防火墻設備之間的通信鏈路，并重新協商IPSEC隧道。

所述閾值的取值范圍是50～500兆。

(三)有益效果

本發明通過在防火墻設備中建立報文池，當防火墻設備吞吐報文的流量差達到閾值后，將接收到的報文與報文池中報文逐一比對，若出現重復報文，則說明網絡受到攻擊，此時斷開通信鏈路，重新協商IPSEC隧道，可以有效防止惡意ESP報文攻擊。

具體實施方式

下面對本發明的具體實施方式作進一步詳細描述。以下實施例用于說明本發明，但不用來限制本發明的范圍。

本實施方式的方法包括以下步驟：

S1：第一防火墻設備接收第二防火墻設備發送的報文，若第一防火墻設備接收報文與發送報文的流量差達到預先設定的閾值，則所述第一防火墻設備對接收到的ESP報文進行解密，再將解密報文進行復制并將復制的報文留存在報文池中；

S2：所述第一防火墻設備將接收到的ESP報文進行解密后與所述報文池中的所有報文進行比對，若所述報文池中存在與所述接收到的報文相同的報文，則所述第一防火墻設備切斷與所述第二防火墻設備之間的通信鏈路，并重新協商IPSEC隧道。

進一步地，所述閾值的取值范圍是50～500兆。

本發明通過在防火墻設備中將接收到報文進行復制并留存，將接收到的報文與之前接收到的報文進行比對，若出現重復報文，則說明網絡已經受到攻擊，將網絡上的ESP報文和對應IKE報文斷開，重新協商IPSEC隧道，通過此方法來解決ESP報文重復攻擊的問題。

以上實施方式僅用于說明本發明，而并非對本發明的限制，有關技術領域的普通技術人員，在不脫離本發明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬于本發明的范疇，本發明的專利保護范圍應由權利要求限定。